Contact
Home > Knelpunten en aanbevelingen > Vertrouwelijkheid > Vertrouwelijkheid: aanbevelingen

Vertrouwelijkheid: aanbevelingen

1. Besteed meer aandacht aan informatiebeveiliging.

KringgesprekBeveiligd patiëntenportaal op de agenda, maar nu nog niet.

Adequate informatiebeveiling is een kernfunctionaliteit van alle e-healthtoepassingen. De relevante richtlijnen met betrekking tot de informatiebeveiliging in de zorg zijn verwoord in twee NEN-normen. NEN-7510 schetst de algemene kaders, en NEN-7512 geeft aanvullende richtlijnen over elektronische gegevensuitwisseling. Goede voorbeelden daargelaten, worden deze normen nog te weinig als ijkpunt gebruikt in de ontwikkeling van e-health in de ggz. De verantwoordelijkheid voor adequate informatiebeveiliging ligt niet alleen bij ICT-leveranciers. Organisaties en gebruikers zouden ook naar hun eigen gedrag moeten kijken. Veel risico’s hebben immers te maken met de menselijke factor. Goede scholing en regelmatige interne en externe audits zijn daarom ook noodzakelijk. Voor deze aspecten zou ideaal gezien een vaststaand percentage van het budget van elk e-healthproject worden gereserveerd.

"Ik zal geheim houden wat mij is toevertrouwd."
- Uit de Artseneed van de KNMG en de VSNU (2003).

2. Maak geen gebruik van cloud-services als Dropbox en Google Drive.

Wie gebruikmaakt van cloud-services zoals Dropbox en Google Drive om patiëntgegevens op te slaan, kan geheimhouding van deze gegevens niet garanderen. De Amerikaanse overheid kan zoals gezegd elk moment besluiten om de gegevens in te zien. Wie desondanks toch voor deze services kiest, doet er goed aan om alle bestanden digitaal te versleutelen, zodat de gegevens voor derden alsnog onleesbaar zijn. Daarvoor zijn gratis programma’s beschikbaar, zoals TrueCrypt.

3. Stuur geen vertrouwelijke berichten via standaard e-mail.

De inzet van standaard e-mail in de interactie met patiënten is aantrekkelijk. Het bespaart tijd, veel patiënten gebruiken het, en berichten zijn eenvoudig te benaderen via het bedrijfsnetwerk. Maar standaard e-mail is eenvoudig te onderscheppen. De vertrouwelijkheid van de informatie kan in het alledaagse e-mailverkeer niet worden gegarandeerd. Behandelaren zouden standaard e-mail dan ook niet moeten gebruiken in de communicatie met hun patiënten. Het verdient voorkeur deze interactie te laten verlopen via online patiëntenportalen.

4. Zoek de balans tussen gebruiksvriendelijkheid en authenticatie.

Digitale beveiligingsprocedures zijn vaak gebruiksonvriendelijk, wat oneigenlijk gebruik van alternatieve, onveilige informatieroutes uitlokt. Het is daarom goed om het gebruik van onnodige procedures zo veel mogelijk te beperken. In andere woorden: doe niet ingewikkelder dan nodig. Zo vragen niet alle informatiestromen om hetzelfde veiligheidsniveau. Handvatten voor het bepalen van een passend authenticatieniveau werden begin 2013 – in conceptvorm – gepubliceerd door Nictiz.

5. Informeer patiënten over risico’s.

Van patiënten mag niet worden verwacht dat zij zich bewust zijn van de mogelijke risico’s van het gebruik van internettechnologie in de zorg. Voorafgaand aan de behandeling moeten zij op deze risico’s worden gewezen, en moet de zorgorganisatie aangeven op welke manier de risico’s worden beheerst. Deze informatie zou bijvoorbeeld op de website van de organisatie kunnen staan, maar, nog beter, ook moeten worden opgenomen in het informed consent.